Mustang Panda, Google Chrome olarak gizlenmiş Toneshell kötü amaçlı yazılımları olan Windows kullanıcılarını hedefliyor

Dünya Preta, HIVE0154, Reddelta ve Bronz Başkan olarak da bilinen Çin uyumlu tehdit oyuncusu Mustang Panda, Windows kullanıcılarına karşı Toneshell arka kapısını öncelikle Asya-Pasifik ve Avrupa’daki hükümet ve askeri kuruluşları hedefleyen Toneshell arka kapısını konuşlandırıyor.

En az 2012’den bu yana aktif olan grup, bozuk bir PDF dosyası olarak maskelenen bir damlalık yürütülebilir (dropper.exe) içeren mustang_panda.zip gibi kötü niyetli arşivler sunmak için askeri temalı lures ile mızrak-aktarma e-postalarından yararlanır.

Dll Sideloading Wasoits

Yürütme üzerine kurbanlar aldatıcı bir hata mesajıyla karşılaşır: “Hata: Dosya Bozuk – PDF dosyası bozuk. Lütfen tekrar denemek için bilgisayarınızı yeniden başlatın”, kötü amaçlı yazılım DLL sideloading için meşru Google Chrome bileşenlerini dağıtırken dikkat dağıtmak için tasarlanmıştır.

Rapora göre, bu teknik, C: \ ProgramData \ ChromePdfbrowser’a yerleştirilmiş meşru bir krom ikili olan ChromePdf.exe’yi ele geçirir.

Kötü amaçlı yazılımların yüksek güven ilişkilendirmesi, Mart – Temmuz 2025 arasında gözlenen altyapı yeniden kullanımı ve kaçaklama taktikleri de dahil olmak üzere tutarlı TTP’lerden kaynaklanmaktadır.

Mustang Panda, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run ChromePdf.exe, Freepdf ve ChromeBrowser-Chromiumim adlı her beş dakika komutu adlı planlanmış bir görevi gösteren kayıt defteri çalıştırma anahtarlarını birleştirerek uzun vadeli erişimi sürdürmek için gereksiz bir kalıcılık stratejisi kullanır.

Bu, oturum açma ve periyodik yürütmede otomatik yeniden başlatma sağlar ve bozulmalara karşı esnekliği artırır.

Operasyonel esnekliği artırın

Toneshell Backdoor, Hong Kong’daki HKBN Enterprise Solutions’a bağlı bir IP olan 218.255.96.245:443 numaralı telefondan özel şifreli TLS protokolü üzerinden C2 sunucusuna, TLS uygulama verilerinin göstergesi 17 03 03 bytes içeren trafik imzalarıyla iletişim kurar.

Ağ adli tıp, izlemeyi atlamak için meşru HTTP’ler olarak maskelenen çift yönlü değişimleri ortaya çıkarır.

Kötü niyetli DLL (SHA-256: 21618EE52B067F761BDF3C456634CD4CB686D45F5AAF7B) analizi, IT ithalatlarını gösterir (EG, CreateProcessa/W, işleyiş (Createprocessa/W, sonlandırma (EG, CreateProcessa/W), 118 Windows Api işlevlerini gösterir (EG, CreateProcessa/W, WriteFile, FindFirstFileEx), kayıt defteri değişiklikleri (örneğin, regSetValueex) ve kabuk yürütme (örn. Shellexecutew), meşru krom meta verileri taklit ederken kapsamlı sistem kontrolü sağlar.

Bağlantı Analizi, C2 IP’nin Doplugs (2024, Asya-Pasifik’i hedefleyen), Puboad (Tibet organizasyonlarına odaklanan) ve mevcut Toneshell kampanyası arasında paylaşılan C2 IP ile operasyonel sürekliliği ortaya çıkarır ve Mustang Panda’nın altyapı yeniden kullanımındaki verimliliğini gösterir.

Önfekte artefaktları, dosya dağıtımlarını ve görev oluşturmayı içeren ilk damlalık yürütmesinden (dropper.exe-af23bc17.pf) enfeksiyon zincirini onaylar.

Tespit fırsatları arasında, eserler için PowerShell sorguları, şüpheli yükler ve görevler için Microsoft Defender kuralları ve standart olmayan yollardan görüntü yükleri, programda süreç yaratımları, başsız parametrelerle süreç.

Kuruluşlar IOC’leri avlamalı, C2 trafiği blok, denetim kayıtları ve T1574.001 (DLL yan yükleme), T1054.001 (planlı görev) gibi miter ATT & CK teknikleri ile hizalanmış bu TTP’lere karşı koymak için e-posta sanal havuzu, uygulama beyaz listesi ve davranışsal izleme uygulamalıdır.

Bu evrim, Mustang Panda’nın kaçırma ve sebattaki olgunluğunu vurgular ve imzaların ötesinde proaktif savunmaları çağırır.

Uzlaşma Göstergeleri (IOCS)

The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir